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14.07.03 Sy/Ho 

ROBERT BOSCH GMBH, 70442 Stuttgart 



Verfahren zur Umschaltung zwischen wenigstens zwei Betriebsmodi einer 
Prozessoreinheit sowie entsprechende Prozessoreinheit 

Stand der Technik 

Die Erfindung geht aus von einem Verfahren zur Umschaltung zwischen wenigstens zwei 
Betriebsmodi einer Prozessoreinheit sowie einer entsprechenden Prozessoreinheit mit 
wenigstens zwei integrierten Ausfuhrungseinheiten gemaB den Oberbegriffen der 
unabhangigen Anspriiche. 

Solche Prozessoreinheiten mit wenigstens zwei integrierten Ausfuhrungseinheiten sind 
auch als Dual-Core- oder Multi-Core-Architekturen bekannt. Solche Dual-Core- oder 
Multi-Core-Architekturen werden nach heutigem Stand der Technik hauptsachlich aus 
zwei Grunden vorgeschlagen: 

Zum Einen kann damit eine Leistungssteigerung, also eine Performance-Steigerung 
erreicht werden, indem die beiden Ausfuhrungseinheiten oder Cores als zwei 
Recheneinheiten auf einem Halbleiterbaustein betrachtet und behandelt werden. In dieser 
Konfiguration bearbeiten die zwei Ausfuhrungseinheiten oder Cores unterschiedliche 
Programme respektive Tasks. Dadurch lasst sich eine Leistungssteigerung erzielen, 
weshalb diese Konfiguration als Leistungsmodus oder Performance-Mode bezeichnet 
wird. 

Der zweite Grund, eine Dual-Core- oder Multi-Core-Architektur zu realisieren, ist eine 
Sicherheitssteigerung, indem die beiden Ausfuhrungseinheiten redundant das gleiche 
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Programm abarbeiten. Die Ergebnisse der beiden Ausfuhrungseinheiten oder CPUs, also 
Cores werden verglichen und ein Fehler kann bei dem Vergleich auf Obereinstimmung 
erkannt werden. Im Folgenden wird diese Konfiguration als Sicherheitsmodus oder 
Safety-Mode bezeichnet. 

Im Allgemeinen sind die beiden genannten Konfigurationen exklusiv auf der Dual- oder 
Multi-Core-Architektur enthalten, d. h. der Rechner mit den wenigstens zwei 
Ausfuhrungseinheiten, wird prinzipiell nur in einem Modus betrieben, dem Performance- 
Modus oder dem Safety-Modus. 

Aufgabe der Erfindung ist es, einen kombinierten Betrieb einer solchen Dual- oder Multi- 
Core-Prozessoreinheit bezuglich wenigstens zweier Betriebsarten zu ermoglichen und 
dabei eine optimierte Umschaltstrategie, insbesondere zwischen einem Sicherheitsmodus 
zur Sicherheitssteigerung und einem Leistungsmodus zur Leistungssteigerung zu 
erzielen. 

Vorteile der Erfindung 

Es ist zum Einen aus Sicherheitsgrunden eine redundante Ausfiihrung der Programme 
respektive Tasks erwiinscht, andererseits ist aus Kostengriinden das Bereithalten von 
redundanter Hardware bei der Ausfiihrung der nicht sicherheitskritischen Funktionen 
nicht erstrebenswert. Dieser Zielkonflikt wird erfindungsgemaJJ durch eine optimierte 
Umschaltung zwischen wenigstens zwei Betriebsmodi und einer Prozessoreinheit gelost. 
So geht die Erfindung von einem Verfahren zur Umschaltung zwischen wenigstens zwei 
Betriebsmodi einer Prozessoreinheit mit wenigstens zwei Ausfuhrungseinheiten sowie 
entsprechender Prozessoreinheit aus. 

Vorteilhafter Weise wird die Umschaltung von einem ersten in einen zweiten 
Betriebsmodus dadurch realisiert, dass auf eine vorgegebene, als Umschalttrigger 
wirkende Speicheradresse zugegriffen wird. D. h. es werden Hardwarekomponenten wie 
Umschaltmittel (Mode Selektor) oder Vergleichsmittel und ein entsprechendes Verfahren 
vorgestellt, wie im Betrieb zwischen sicherheitskritischen Programmen, welche also im 
Sicherheitsmodus redundant ausgefUhrt werden und nicht sicherheitskritischen 
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Prograrnmen, welche im Leistungsmodus unabhangig voneinander auf beiden 
Ausflihrungseinheiten ausgefuhrt werden, optimal umgeschaltet werden kann. 

Dabei werden die gleichen Programme im ersten Betriebsmodus durch die wenigstens 
zwei Ausflihrungseinheiten synchron abgearbeitet und durch vorgesehene 
Vergleichsmittel dahingehend uberpruft, dass die bei der Abarbeitung der gleichen 
Programme entstehenden Zustande der Ausfiihrungseinheiten ubereinstimmen. Bei 
Abweichungen diesbezuglich sind dann verschiedene Fehlerreaktionen von einer 
Fehleranzeige iiber einen Notbetrieb bis hin zur Abschaltung der fehlerhaften Einheit 
denkbar. 

In einer speziellen Ausfiihrungsform entspricht dem ersten Betriebsmodus der 
Sicherheitsmodus und dem zweiten Betriebsmodus der Leistungsmodus. Eine 
Umschaltung vom zweiten Betriebsmodus in den ersten Betriebsmodus erfolgt dabei 
zweckmaBiger Weise durch eine Unterbrechungsanforderung, insbesondere ausgelost 
durch ein Unterbrechungsmittel, wobei die Unterbrechungsanforderung einerseits durch 
eine Zeitbedingung auslosbar ist oder auch durch eine Zustandsbedingung, also einem 
bestimmten Zustand wenigstens einer. der beiden Ausflihrungseinheiten oder auch dem 
Auftreten eines bestimmten Ereignisses entspricht. 

Vorteilhafter Weise erfolgt eine spezielle Aufteilung in wenigstens drei getrennte 
Speicherbereiche, wobei die Ausflihrungseinheiten abhangig vom jeweiligen 
Betriebsmodus auf einen ersten Speicherbereich oder einen zweiten Speicherbereich 
Zugriff haben, respektive mit diesem in Verbindung stehen. Dabei ist zweckmaBiger 
Weise in einer speziellen Ausfiihrungsform jeder der wenigstens zwei 
Ausflihrungseinheiten jeweils ein erster Speicherbereich auf der Prozessoreinheit 
zugeordnet, mit welchen diese im ersten Betriebsmodus, also insbesondere dem 
Sicherheitsmodus, in Verbindung stehen bzw. darauf zugreifen. Im zweiten 
Betriebsmodus haben beide Ausflihrungseinheiten nur auf einen, beiden 
Ausflihrungseinheiten zugeordneten zweiten Speicherbereich Zugriff bzw. stehen mit 
diesem in Verbindung. 

ZweckmaBiger Weise sind nun Uberwachungsmittel, insbesondere die Umschaltmittel 
selber derart vorgesehen, dass uberwacht wird, dass im jeweiligen Betriebsmodus nur auf 
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die entsprechenden Speicherbereiche zugegriffen wird bzw. die entsprechende 
Verbindung zu den Speicherbereichen besteht. D. h. im zweiten Betriebsmodus greifen 
die Auswertemittel nur auf den zweiten Speicherbereich zu und nicht auf die ersten 
Speicherbereiche, und im ersten Betriebsmodus erfolgt der Zugriff nur auf die jeweiligen 
ersten Speicherbereiche, und nicht auf den zweiten Speicherbereich, was durch 
vorgenannte Uberwachungsmittel uberpruft und in eventuell entsprechende 
Fehlerreaktionen wie Fehlermeldung, Notbetrieb oder Abschaltung sanktioniert wird. 

Dabei ist jeder der genannten drei Speicherbereiche, also die wenigstens zwei ersten 
Speicherbereiche sowie der zweite Speicherbereich in einem getrennten Speicherbaustein 
vorgesehen, so dass wenigstens drei Speicherbausteine auf der Prozessoreinheit zur 
Verfugung stehen. Dabei sind zweckmaBiger Weise die sicherheitskritischen Programme 
jeweils in einem ersten Speicherbereich, und die nicht sicherheitskritischen Programme 
im zweiten Speicherbereich abgelegt, wobei zweckmaBiger Weise die vorgegebene 
Speicheradresse, welche die genannte Triggerfunktion bezuglich der Umschaltung 
aufweist, in dem zweiten Speicherbereich enthalten ist 

Ein weiterer Vorteil ergibt sich, wenn fur den Vergleich der Zustande der 
Ausfiihrungseinheiten im ersten Betriebsmodus explizite Vergleichsmittel auf der 
Prozessoreinheit vorgesehen sind und diese Vergleichsmittel nur im ersten 
Betriebsmodus in Funktion sind und beim LFbergang in den zweiten Betriebsmodus auBer 
Funktion gesetzt werden, so dass im nichtredundanten, nicht sicherheitskritischen Betrieb 
kein Vergleich und damit keine unter Umstanden provozierte Fehlerreaktion erfolgt. 

Weitere Vorteile und vorteilhafte Ausgestaltungen ergeben sich aus den Merkmalen der 
Anspruche sowie den Inhalten von Beschreibung und Zeichnung. 

Zeichnung 

Die Erfindung wird nachfolgend anhand der in der Zeichnung dargestellten Figuren naher 
erlautert. Dabei zeigt 

Figur 1 eine erfindungsgemaBe Prozessoreinheit mit wenigstens zwei 
Ausfiihrungseinheiten und den erfindungsgemaBen Hardwarekomponenten. 
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Figur 2 offenbart eine Umschaltung vora Sicherheitsmodus in den Leistungsmodus, 
wohingegen 

Figur 3 eine Umschaltung vom Leistungsmodus in den Sicherheitsmodus darstellt. 
Beschreibung der Ausfuhrungsbeispiele 

In Steuerungsanwendungen, insbesondere auf dem Gebiet der Kraftfahrzeugsteuerung, 
wie Motorsteuerung, Bremsensteuerung oder auch Lenkung und Getriebe usw., aber 
ebenso in Industrieanwendungen wie der Automatisierung oder im 
Werkzeugmaschinenbereich gibt es im Allgemeinen Softwaretasks oder Programme, die 
eine redundante Ausfuhrung aus Sicherheitsgriinden erfordern, um das Auftreten von 
Fehlern zu erkennen. Solche sicherheitskritischen Anwendungen weisen aber neben 
diesen sicherheitskritischen Programmen auch Softwarebestandteile oder Programme auf, 
die auch fehlerhaft sein diirfen, da sie nicht fur das Erbringen der sicherheitskritischen 
Funktion selbst notig sind bzw. damit befasst sind, sondern nur eine zusatzliche Funktion, 
insbesondere eine Komfortfunktion erbringen. Aus Sicherheitsgriinden ist eine 
redundante Ausfuhrung erwiinscht, aus Kostengriinden das Bereithalten von redundanter 
Hardware nicht erstrebenswert. ErfmdungsgemaB wird diese Problemstellung durch das 
optimierte Umschalten zwischen wenigstens zwei Betriebsmodi, der Prozessoreinheit, 
wie bereits in den Vorteilen beschrieben und nachfolgend naher erlautert, gelost. 

Somit wird im Folgenden der Einsatz der Erfindung in einem sicherheitskritischen 
System, beispielsweise einem fahrzeugimmanenten System wie Bremse, Lenkung, 
Getriebe oder Motor dargestellt Die erfindungsgemaBe Prozessoreinheit des Systems 
besteht dabei aus einer Dual-Core-Architektur entsprechend Figur 1, also einer 
Prozessoreinheit 100 mit wenigstens zwei Ausfuhrungseinheiten 101 und 102 (CPU1 und 
CPU2). Den beiden Ausflihrungseinheiten 101, 102, also CPU1 und CPU2 sind in diesem 
Beispiel jeweils ein Arbeitsspeicher 1 10 bzw. 1 1 1 zugeordnet, auch als RAMI und 
RAM2 bezeichnet. Beide Ausfuhrungseinheiten 101 und 102 sind mit einem 
Vergleichsmittel, einem Vergleicher 170 verbunden. Jede Ausfuhrungseinheit hat 
weiterhin eine Verbindung zu einem Umschaltmittel, einem Mode-Selektor 130 bzw. 
13 1, mit welchem auch der Vergleichsbaustein, das Vergleichsmittel 170 Verbindungen 
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aufweist. Ober jeweils einen Bus 140 bzw. 141 ist der jeweils flOchtige Arbeitsspeicher 
1 10 bzw. Ill sowie die Umschaltmittel 130 und 131 mit jeweils einem ersten 
Speichermittel 150 bzw. 151 sowie einem zweiten Speichermittel 180 verbunden. 

In diesem Ausfuhrungsbeispiel werden zwei Betriebssysteme verwendet, eines fiir die 
sicherheitskritischen Programme oder Tasks und eines fur die nicht sicherheitskritischen 
Programme oder Tasks. Als Betriebssystem fiir die sicherheitskritischen Programme wird 
beispielsweise OSEKtime OS, und als Betriebssystem fur die nicht sicherheitskritischen 
Tasks beispielsweise OSEK OS verwendet. 

Die Anwendungssoftware ist, wie bereits erwahnt, aufgeteilt in sicherheitskritische 
Programme und nicht sicherheitskritische Programme. Alle Programme oder Tasks, die 
als nicht sicherheitskritisch eingestuft sind, dtirfen versagen, fehlerhaft ausgefuhrt oder 
uberhaupt nicht ausgefuhrt werden. Eine Gefahrdung des Gesamtsystems bzw. der 
Umgebung ist dadurch nicht moglich. Der sichere Betrieb des Gesamtsystems wird 
alleine durch die als sicherheitskritisch eingestuften Programme respektive Tasks 
moglich. Allerdings besteht die Moglichkeit, dass der Betrieb, sofern er alleine durch die 
sicherheitskritischen Tasks bzw. Programme durchgefiihrt wird, zu einem 
Qualitatsverlust der Gesamtfunktion fuhrt, die allerdings innerhalb vorgebbarer 
Toleranzen als tolerierbar eingestuft wurde. 

Die sicherheitsrelevanten, also die sicherheitskritischen Tasks oder Programme werden 
redundant auf beiden Ausfuhrungseinheiten 101 und 102, also beiden CPUs, CPU1 und 
CPU2 ausgefuhrt. Dabei werden diese Programme unter der Kontrolle des ersten 
Betriebssystems, hier OSEKtime OS abgearbeitet. Dazu ist der in Figur 1 dargestellte 
nicht fliichtige Speicherbereich 150 bzw. 15 1 in zwei Teile verdoppelt, so dass 
entsprechend zweier Ausfiihrungseinheiten zwei erste Speicherbereiche 150 und 151 
vorliegen. In diesen ersten Speicherbereichen liegen die sicherheitskritischen Programme 
respektive Tasks verdoppelt, also redundant. D. h. jede der sicherheitskritischen Tasks ist 
zum Einen im Speicherbereich 150 und zum Anderen im Speicherbereich 151 lokalisiert. 
Dabei kann insbesondere das erste Betriebssystem selbst als sicherheitskritisch eingestuft 
werden und wird somit ebenfalls in beiden Speicherbereichen abgelegt. D. h. in unserem 
Beispiel, dass das Betriebssystem OSEKtime OS zum Einen im Speicherbereich 150 und 
zum Anderen im Speicherbereich 151 jeweils abgelegt ist. Dabei sind die beiden ersten 
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Speicherbereiche in einer besonderen Ausfiihrung jeweils als eigener nicht fliichtiger 
Speicherbaustein ROM1 bzw. ROM2 ausgefuhrt, welche als ROM, PROM, EPROM, 
EEPROM, Flash-EPROM usw. ausgefuhrt werden konnen. 

Dabei ist nicht zwingend eine Doppelablage der sicherheitskritrischen Programme oder 
Tasks erforderlich. Diese konnen auch durch Einsatz eines ECC-Codes (Error Code and 
Correction) abgesichert sein. Solche Methoden zur Fehlererkennung bei einem Speicher 
sind vielfaltig, wobei die Grundvoraussetzung die Absicherung mit einem 
Fehlererkennungs- bzw. Fehlerkorrekturcode, also einer Signatur darstellt. Im einfachsten 
Fall kann diese Signatur nur aus einem Signaturbit, beispielsweise einem Paritybit 
bestehen. Andererseits kann die Absicherung auch durch komplexere ED-Codes (Error 
Detection) wie einen Berger-Code oder einen Bose-Lin-Code usw., oder auch durch 
einen komplexeren ECC-Code wie beispielsweise einen Hamming-Code, usw. realisiert 
werden, um durch entsprechende Bitzahl eine sicherere Fehlererkennung zu ermoglichen. 
Es kann aber auch als Codegenerator, beispielsweise eine Generatortabelle (fest 
verdrahtet oder in Software) verwendet werden, um bestimmten Eingangsmustern der 
Bits im Rahmen der Adresse ein gewlinschtes Codemuster beliebiger Lange zuzuordnen. 
Damit kann, insbesondere durch die Korrekturfiinktion die Datensicherheit im Speicher 
gewahrleistet werden und eine Doppelablage vermieden werden. Dennoch erfolgt eine 
redundante Abarbeitung der sicherheitskritischen Programme in den beiden 
Ausfuhrungseinheiten, wodurch Fehler in den Cores, also den Ausfuhrungseinheiten 
durch Vergleich auf Ubereinstimmung erfindungsgemaB aufgedeckt werden, wobei fur 
diesen Fall der Erfindung entgegen Figur 1 nur ein erster Speicherbereich notwendig ist. 

Die nicht sicherheitsrelevanten bzw. sicherheitskritischen Programme oder Tasks werden 
zur Leistungserhohung auf beiden Ausfuhrungseinheiten, also CPUs verteilt berechnet 
und unter der Kontrolle des jeweiligen Subbetriebsystems, also hier des OSEK- 
Subsystems ausgefuhrt. Insbesondere lauft somit auf jede der beiden 
Ausfuhrungseinheiten ein unabhangiges Betriebssystem, hier ein unabhangiges OSEK- 
System. Der zweite Speicherbereich 180, in dem sich die nicht sicherheitskritischen 
Programme bzw. Tasks befinden, ist einfach vorhanden. Er wird von beiden 
Ausfuhrungseinheiten 101 bzw. 102 beniitzt bzw. es wird von beiden auf ihn zugegriffen. 
Auch dieser zweite Speicherbereich kann in einer besonderen Ausfiihrungsform als 
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eigener nicht fluchtiger Speicherbaustein ROM3 ausgebildet sein und als ROM, PROM, 
EPROM, EEPROM, Flash-EPROM usw. ausgestaltet werden. 

Dabei konnen die Speicherbereiche, also die ersten und zweiten Speicherbereiche so 
ausgebildet sein, dass die ersten Speicherbereiche bzw. der erste Speicherbereich (bei 
ECC Absicherung) beispielsweise zwischen 0 und X bezogen auf die Adressen und der 
zweite Speicherbereich von X + 1 bis Y ebenfalls bezogen auf die Adressen ausgebildet 
sind. Im weiteren wird von einem verdoppelten ersten Speicherbereich ausgegangen, 
wobei wie vorher erlautert auch nur ein einzelner erster abgesicherter Speicherbereich 
Einsatz finden kann. Dann ist, wie schon gesagt, der erste Speicherbereich von 0 bis X 
doppelt eben jeweils in einem ersten Speicherbereich vorhanden. Dabei ist jeder erste 
Speicherbereich einer AusfUhrungseinheit konkret zugeordnet. 

Im ersten Betriebsmodus, hier im Beispiel dem Sicherheitsmodus, laufen auf beiden 
Ausfuhrungseinheiten, also beiden CPUs 101 und 102 redundant und insbesondere 
synchron die sicherheitskritischen Programme bzw. Tasks ab. Im Vergleichsmittel, dem 
Vergleicher 170, werden die jeweiligen CPU-Zustande miteinander verglichen. Dabei 
konnen bestimmten Programmphasen bestimmte Zustande zugeordnet sein, die dann 
zeitunkritisch, also zu einem beliebigen Zeitpunkt verglichen werden konnen, sofern 
diese zwischengespeichert und beispielsweise durch eine Kennung eindeutig zuordenbar 
sind, verglichen werden konnen. Im bevorzugten Fall aber werden die 
sicherheitskritischen Programme respektive Tasks nicht nur redundant, sondern synchron 
abgearbeitet, so dass im Betrieb direkt ein Vergleich der jeweiligen Zustande der 
Ausfiihrungseinheiten durchgeftihrt werden kann. Die neuen Befehle und/oder Daten 
werden dann entsprechend aus dem jeweilig zugeordneten ersten Speicherbereich 150 
respektive 151 geladen und abgearbeitet. Im Vergleicher 170 werden die CPU-Zustande 
auf tJbereinstimmung gepriift, wobei bei einer Abweichung der Zustande, die sich 
entsprechen sollten, auf Fehler erkannt wird. Als Fehlerreaktion ist zum Einen eine 
Fehleranzeige bezuglich des jeweiligen Systems, in dem die Prozessoreinheit verbaut ist, 
moglich und zum Anderen Fehlerreaktionen wie ein Notbetrieb, also das Betreiben des 
Systems, dem die Prozessoreinheit innewohnt, in einem abgesicherten Notbetrieb, 
beispielsweise mit extra dafur vorgesehenen Programmen und/oder Daten. Dabei kann 
auch bei einer weitergehenden Fehlerauswertung, z. B. einem n- aus m-Test, wobei n und 
m naturliche Zahlen sind und n > 2 sowie m > n > m/2 oder auch einem 1 aus k-Code, 
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wobei k einer natUrlichen Zahl > 1 entspricht. Wird beispielsweise durch solch einen Test 
eindeutig eine Ausfuhrungseinheit als fehlerhaft erkannt, kann als weitere Fehlerreaktion 
auch ein Abschalten dieser Ausfuhrungseinheit und Notbetrieb der verbliebenen Einheit 
oder ein Umschalten der fehlerhaften Ausfuhrungseinheit in den Notbetrieb erfolgen. 

Im Safety-Mode, also dem Sicherheitsmodus oder allgemeiner dem ersten 
Betriebsmodus, ist ein Zugriff der Ausfiihrungseinheiten nur auf Adressen bzw. Daten in 
den ersten Speicherbereichen zulassig. D. h. die jeweilige Ausfuhrungseinheit darf im 
ersten Betriebsmodus nur auf den, insbesondere ihr zugeordneten, ersten Speicherbereich 
zugreifen. Dies wird durch Oberwachungsmittel, insbesondere die Umschaltmittel oder 
Mode-Selektoren 130 respektive 131 bzw. Uberwachungsmittel in den Mode-Selektoren 
130 und 131 uberpriift. Treten hierbei Fehler auf, ist eine vergleichbare Fehlerreaktion, 
wie oben beschrieben, beziiglich eines Vergleichfehlers bei Obereinstimmung der CPU- 
Zustande denkbar und vorsehbar. D. h. aber auch, dass die Umschaltmittel, also hier die 
Mode-Selektoren 130 respektive 131 fur diesen Fall des ersten Betriebsmodus eine 
Verbindung in den jeweils zugehorigen ersten Speicherbereich 150 respektive 151 via 
Bus 140 respektive 141 herstellen bzw. eine entsprechende Zugriff sverletzung 
tiberwachen. 

Im zweiten Betriebsmodus dieses Ausfiihrungsbeispiels werden die nicht 
sicherheitskritischen Programme respektive Tasks abgearbeitet. Auf beiden 
Ausfiihrungseinheiten, also den CPUs 1 und 2 (101, 102) laufen verschiedene nicht 
sicherheitskritische Programme. Dazu gehort beispielsweise auch das Betriebssystem 
selbst fur den zweiten Betriebsmodus, also das OSEK-Subsystem. Die beiden 
Ausfiihrungseinheiten oder CPUs teilen sich damit einen nicht fluchtigen zweiten 
Speicherbereich, der, wie vorher beschrieben, ausgebildet sein kann. Allerdings ist jedem 
CPU ein eigener fliichtiger Arbeitsspeicherbereich RAMI und RAM2, 110 respektive 
111 zugeordnet. Da entsprechende solche nicht sicherheitskritische Programme nicht oder 
nicht alle doppelt ausgefiihrt sind, besteht zumindest theoretisch die Moglichkeit, dass 
sich beide Ausfiihrungseinheiten gegenseitig durch Warten auf Freigabe einer Ressource 
blockieren. Dem ist durch geeignete Verteilung der Tasks bzw. Programme, 
beispielsweise nach einem Schedule auf die Ausfiihrungseinheiten 101 und 102 
entgegenzuwirken. Dabei sind auch weitere MaBnahmen wie beispielsweise ein 
abwechselnder Zugriff oder ein abhangig vom jeweiligen Programm priorisierter Zugriff 
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usw. moglich. In diesem zweiten Betriebsmodus, dem Leistungsmodus gemali unserem 
Ausfiihrungsbeispiel ist kein Zugriff auf eine Adresse im ersten Speicherbereich zulassig. 
Auch hier erfolgt die Uberpriifung durch Ubeipriifungsmittel, insbesondere durch die 
Umschaltmittel, die Mode-Selektoren, oder aber die Oberpriifungsmittel sind in den 
Mode-Selektoren separat ausgefiihrt. Bei einetn erkannten fehlerhaften Zugriff im 
zweiten Betriebsmodus kann auch hier eine entsprechende Fehlerreaktion eingeleitet 
werden. Dabei ist zum Einen eine Fehlerreaktion entsprechend des ersten Betriebsmodus 
denkbar und vorgebbar. Dies ist insbesondere dadurch sinnvoll, da bei einem fehlerhaften 
Zugriff unter Umstanden ja auf sicherheitskritische Speicherbereiche zugegriffen wird. 
Zum Einen ist dies dadurch realisierbar, dass eine Verbindung zum zweiten 
Speicherbereich nur im zweiten Betriebsmodus aufgebaut wird und die Verbindung zu 
den ersten Speicherbereichen in diesen Betriebsmodus gekappt wird oder der Zugriff auf 
den ersten Speicherbereich anderweitig verhindert und nur in den zweiten 
Speicherbereich erlaubt wird. 

Das Umschalten zwischen den Betriebsmodi ist nun ausfuhrlich in den Figuren 2 und 3 
nochmals beschrieben. 

Um von dem ersten Betriebsmodus, also hier dem Sicherheitsmodus oder Safety-Mode in 
den zweiten Betriebsmodus, also hier Leistungsmodus oder Performance-Mode zu 
gelangen, ist ein Zugriff auf eine vbrgegebene bzw. ausgezeichnete Adresse erforderlich, 
wodurch ein Wechsel in den zweiten Betriebsmodus erfolgt. Diese ausgezeichnete 
Adresse kann dabei im ersten Speicherbereich bei der Programmabarbeitung auftreten 
bzw. entsprechend von AuBen zugefiihrt werden. D. h. im ersten Betriebsmodus oder 
Sicherheitsmodus darf lediglich auf Adressen bzw. auf ein Programm im ersten 
Speicherbereich zugegriffen werden; falls in diesem Sicherheitsmodus auf eine andere 
Adresse z.B. im zweiten Speicherbereich zugegriffen wird, liegt ein Fehler mit moglicher 
entsprechender Fehlerreaktion, wie oben beschrieben, vor. In Figur 2 ist dies noch einmal 
verdeutlicht. Im Block 200 sind beide Ausfiihrungseinheiten 101 und 102 im ersten 
Betriebsmodus, also dem Sicherheitsmodus. In Abfrage 210 wird uberprttft, ob die 
Adresse des nachsten Befehls gleich der Triggeradresse der entsprechenden 
ausgezeichneten Umschaltadresse ist. Ist dies nicht der Fall, sind beide 
Verarbeitungseinheiten weiterhin im ersten Betriebsmodus und greifen somit jeweils auf 
die ersten Speicherbereiche 150, 151 zu. Entspricht allerdings die Adresse des nachsten 
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Befehls und/oder Datums der Triggeradresse, so erfolgt im Block 220 die Umschaltung 
bzw. der Wechsel in den zweiten Betriebsmodus, den Leistungs- oder Performance- 
Mode. Jede Ausfuhrungseinheit.erhalt dabei auBerdem eine Adresse im zweiten 
Speicherbereich, bei welcher die Abarbeitung im zweiten Betriebsmodus fortzusetzen ist. 
Dabei wird die Vergleichseinheit bzw. das Vergleichsmittel 170 abgeschalten, also auBer 
Funktion gesetzt (disabled). Im Block 230 ist somit die erste Verarbeitungseinheit 101 im 
zweiten Betriebsmodus und im Block 23 1 die zweite Ausflihrungseinheit 1 02 ebenfalls 
im zweiten Betriebsmodus, dem Performance-Mode. D. h. die einzige Moglichkeit, urn 
vom Sicherheitsmodus, dem Safety-Mode in den Performance-Mode zu gelangen, ist im 
konkreten Beispiel beispielsweise ein Aufruf einer speziellen OSEKtime-Task Txrigger 
wie z.B. der ttidle Task des OSEKtime Betriebssystems, respektive einer darin 
enthaltenen, als Trigger-Adresse ausgezeichneten Adresse, insbesondere der 
Anfangsadresse dieses Programmteils bzw. dieser Task. Insbesondere wenn die beiden 
Ausfuhrungseinheiten synchron arbeiten, geschieht dieser Aufruf in beiden CPUs 
, notwendigerweise gleichzeitig. Die Tagger-Task wie eben ttidle ist dabei z.B. ein 
Aufruf des OSEK-Schedulers, welcher im zweiten Speicherbereich 180 liegt 
Beispielsweise in den Umschalteinrichtungen, also den Mode-Selektoren 130, 131 ist 
diese entsprechende Adresse als Triggeradresse eingestellt, um in den Leistungsmodus zu 
wechseln. Dies wird wie gesagt im Block 210, also eben den Mode-Selektoren, den 
Umschaltmitteln gepriift. Damit dilrfen zukunftige Adresszugriffe eben bis zu einem 
erneuten Wechsel in den Sicherheitsmodus nur noch in den ROM-Bereich 1 80, also den 
nicht fliichtigen zweiten Speicherbereich erfolgen. 

In Figur 3 ist nun die Umschaltung bzw. der Wechsel vom Leistungsmodus, also dem 
Performance-Mode insbesondere zuriick in den ersten Betriebsmodus, den 
Sicherheitsmodus oder Safety-Mode dargestellt In Block 300 ist Ausflihrungseinheit 
101, also CPU 1 im zweiten Betriebsmodus, dem Performance-Mode. Ebenso ist in Block 
3 10 die zweite Ausflihrungseinheit 102 in eben diesem Leistungsmodus, diesem zweiten 
Betriebsmodus dieses Ausfiihrungsbeispiels. In Block 320 bzw. Block 321 wird nun fiir 
jede Ausflihrungseinheit eine Unterbrechungsanforderung, ein Interrupt ausgelost, durch 
welchen eine Umschaltung in Block 330 von beiden Ausfuhrungseinheiten 101 und 102 
in den ersten Betriebsmodus, den Sicherheitsmodus, erfolgt. Dabei wird das 
Vergleichsmittel der Vergleicher 170 wieder eingeschalten, und in Block 340 laufen dann 
beide Ausfuhrungseinheiten wieder im Sicherheitsmodus, dem ersten Betriebsmodus. Die 
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Unterbrechungsanforderung kann dabei zum Einen durch eine Zeitbedingung, also einen 
Timerinterrupt ausgelost werden oder durch eine Zustands- respektive Ereignisbedingung 
ausgelost sein. Das bedeutet, urn vom Leistungsmodus in den Sicherheitsmodus zu 
wechseln, wird eine Unterbrechungsanforderung des ersten Betriebssystem OSEKtime 
generiert. Dieser Timerinterrupt des gegenuber dem OSEK-Betriebssystem hoherprioren 
OSEKtime-Betriebssystems ist in beiden CPUs gleich programmiert, da auf beiden CPUs 
das gleiche OSEKtime-System lauft. Insbesondere bei synchron laufenden OSEKtime- 
Systemen geht der Interrupt, also die Unterbrechungsanforderung bei beiden CPUs 
gleichzeitig ein. Wie gesagt, hat damit definitionsgemaB der OSEKtime-Scheduler- 
Interrupt eine sehr hohe, insbesondere die hochste Prioritat. Beide 
Unterbrechungsanforderungen werden bei Synchronitat dementsprechend gleichzeitig 
ausgefUhrt. Wie bereits erwahnt, wird mit AusfUhrungen dieser 
Unterbrechungsanforderungen auch das Vergleichsmittel 170 ebenfalls wieder in 
Funktion gesetzt, also in den ersten Betriebszustand, den Sicherheitsmodus, umgeschaltet 
und die AusfUhrungseinheiten laufen insbesondere erneut redundant. 

Neben dem bereits genannten Timer-Interrupt kann auch ein Zustands- oder 
Ereignisinterrupt eingesetzt werden, urn den genannten Betriebsmoduswechsel vom 
zweiten in den ersten Betriebsmodus zu bewerkstelligen. Dabei kann ein bestimmter 
Zustand der AusfUhrungseinheiten beispielsweise einen hochprioren Interrupt auslosen, 
der dann fur beide AusfUhrungseinheiten GUltigkeit hat. Dies kann beispielsweise ein 
durch die Abarbeitung der Programme im ROM 180 generierter Zustand in einer CPU 
sein, die eine solch hochpriore Unterbrechungsanforderung, die auch fur die zweite CPU 
gilt, auslost. Ebenso kann ein Ereignis, insbesondere auch ein von extern der 
Prozessoreinheit zugefUhrtes Ereignis einen solchen Interrupt und damit den 
Betriebsmoduswechsel auslosen. Bevorzugt ist die erste Variante mit dem Timerinterrupt, 
aber der Zustands- oder Ereignisinterrupt, wie beschrieben, ist ebenfalls denkbar und 
hiermit offenbart. 

Damit ist entsprechend der Aufgabe eine optimierte Umschaltung zwischen zwei 
Betriebsmodi einer Prozessoreinheit mit zwei integrierten AusfUhrungseinheiten 
erfindungsgemaB dargestellt, wobei das konkrete AusfUhrungsbeispiel nicht begrenzend 
im Hinblick auf die Grundideen des erfindungsgemafien Gegenstandes wirken kann. 
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14.07.2003 Sy/Ho 

ROBERT BOSCH GMBH, 70442 Stuttgart 
Ansprttche 

1 . Prozessoreinheit mit wenigstens zwei Ausflihrungseinheiten, wobei Umschaltmittel 
enthalten sind durch welche zwischeri wenigstens zwei Betriebsmodi der Prozessoreinheit 
umgeschalten werden kann, dadurch gekennzeichnet, dass die Umschaltmittel derart 
ausgestaltet sind, dass ein Wechsel von einem ersten Betriebsmodus in einen zweiten 
Betriebsmodus dadurch ausgelost wird, dass durch die Prozessoreinheit auf eine vorgegebene 
Speicheradresse zugegriffen wird. 

2. Prozessoreinheit nach Anspruch 1, dadurch gekennzeichnet, dass der erste 
Betriebsmodus einem Sicherheitsmodus entspricht, bei dem die zwei Ausflihrungseinheiten 
gleiche Programme abarbeiten und Vergleichsmittel vorgesehen sind, welche die bei der 
Abarbeitung der gleichen Programme entstehenden Zustande der Ausflihrungseinheiten auf 
Ubereinstimmung vergleichen. 

3 . Prozessoreinheit nach Anspruch 2, dadurch gekennzeichnet, dass die 
Ausflihrungseinheiten derart ausgebildet sind, dass diese im ersten Betriebsmodus die 
gleichen Programme synchron abarbeiten. 

4. Prozessoreinheit nach Anspruch 1, mit wenigstens drei getrennten 
Speicherbereichen, wobei in dem ersten Betriebsmodus jede Ausfuhrungseinheit jeweils mit 
einem jeder Ausfiihrungseinheit zugeordneten ersten Speicherbereich in Verbindung steht. 

5. Prozessoreinheit nach Anspruch 1, mit wenigstens zwei getrennten 
Speicherbereichen, wobei in dem zweiten Betriebsmodus beide Ausflihrungseinheiten nur mit 
einem, beiden Ausflihrungseinheiten zugeordneten zweiten Speicherbereich in Verbindung 
stehen. 
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6. Prozessoreinheit nach Anspruch 1 und 5, dadurch gekennzeichnet, dass die 
vorgegebene Speicheradresse auf die zugegriffen werden soli in dem zweiten Speicherbereich 
lokalisiert ist 

7. Prozessoreinheit nach Anspruch 1, mit wenigstens zwei getrennten 
Speicherbereichen, wobei in dem ersten Betriebsmodus beide Ausfuhrungseinheiten nur mit 
einem, beiden Ausfuhrungseinheiten zugeordneten ersten Speicherbereich in Verbindung 
stehen. 

8. Prozessoreinheit nach Anspruch 1 und 7, dadurch gekennzeichnet, dass die 
vorgegebene Speicheradresse als Triggeradresse im ersten Speicherbereich enthalten ist und 
die folgende Adresse auf die zugegriffen werden soil in dem zweiten Speicherbereich 
enthalten ist 

9. Prozessoreinheit nach Anspruch 1 und 5, dadurch gekennzeichnet, dass 
tJberwachungsmittel, insbesondere die Umschaltmittel, vorgesehen sind, welche derart zur 
Uberwachung ausgebildet sind, dass die Auswertemittel im zweiten Betriebsmodus nur mit 
dem zweiten Speicherbereich in Verbindung stehen. 

10. Prozessoreinheit nach Anspruch 1 und 4, dadurch gekennzeichnet, dass 
Oberwachungsmittel, insbesondere die Umschaltmittel, vorgesehen sind, welche derart zur 
Uberwachung ausgebildet sind, dass die Auswertemittel im ersten Betriebsmodus nur jeweils 
mit dem ersten Speicherbereich in Verbindung stehen. 

1 1 . Prozessoreinheit nach Anspruch 4 oder 5, dadurch gekennzeichnet, dass jeder der 
Speicherbereiche in einem getrennten Speicherbaustein vorgesehen ist. 

12. Prozessoreinheit nach Anspruch 2, dadurch gekennzeichnet, dass die 
Vergleichsmittel bei Obergang in den zweiten Betriebsmodus, der einem Leistungsmodus 
entspricht aufier Funktion gesetzt werden und ein Vergleich der Zustande nur im ersten 
Betriebsmodus erfolgt. 

13. Prozessoreinheit nach Anspruch 1, dadurch gekennzeichnet, dass 
Unterbrechungsmittel enthalten sind, welche derart ausgebildet sind, dass diese eine 
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RUckkehr in den ersten Betriebsmodus durch eine Unterbrechungsanforderung ermoglichen. 

14. Prozessoreinheit nach Anspruch 13, dadurch gekennzeichnet, dass die 
Unterbrechungsanforderung durch eine Zeitbedingung ausgelost wird. 

15. Prozessoreinheit nach Anspruch 13, dadurch gekennzeichnet, dass die 
Unterbrechungsanforderung durch eine Zustandsbedingung ausgelost wird. 

16. Verfahren zur Umschaltung zwischen wenigstens zwei Betriebsmodi einer 
Prozessoreinlieit mit wenigstens zwei Ausfuhrungseinheiten dadurch gekennzeichnet, dass 
ein Wechsel von einem ersten Betriebsmodus in einen zweiten Betriebsmodus dadurch 
ausgelost wird, dass durch die Prozessoreinheit auf eine vorgegebene Speicheradresse 
zugegriffen wird. 

17. Verfahren nach Anspruch 1 6, dadurch gekennzeichnet, dass die 
AusfUhrungseinheiten im ersten Betriebsmodus die gleichen Programme synchron abarbeiten. 

1 8. Verfahren nach Anspruch 1 6, dadurch gekennzeichnet, dass in beiden Betriebsmodi 
verschiedene Programme abgearbeitet werden, wobei im ersten Betriebsmodus 
sicherheitskritische Programme redundant von beiden Ausfuhrungseinheiten und im zweiten 
Betriebsmodus nicht sicherheitskritische Programme abgearbeitet werden. 

19. Verfahren nach Anspruch 18, dadurch gekennzeichnet, dass die 
sicherheitskritischen Programme redundant in den Ausfuhrungseinheiten jeweils 
zugeordneten ersten Speicherbereichen abgelegt sind. 

20. Verfahren nach Anspruch 1 8, dadurch gekennzeichnet, dass die nicht 
sicherheitskritischen Programme in einem einzigen zweiten Speicherbereich abgelegt sind 
und beide Ausfuhrungseinheiten im zweiten Betriebsmodus nur auf den zweiten 
Speicherbereich zugreifen. 

21 . Verfahren nach Anspruch 1 6, dadurch gekennzeichnet, dass im ersten 
Betriebsmodus sicherheitskritische Programme redundant abgearbeitet werden und die dabei 
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entstehenden Zustande auf Ubereinstimmung verglichen werden. 

22. Verfahren nach Anspruch 16, dadurch gekennzeichnet, dass in dem ersten 
Betriebsmodus von den Ausfuhrungseinheiten jeweils nur auf einen jeder Ausfuhrungseinheit 
zugeordneten ersten Speicherbereich zugegriffen wird. 

23. Verfahren nach Anspruch 16, mit wenigstens zwei getrennten Speicherbereichen, 
wobei in dem ersten Betriebsmodus beide Ausfuhrungseinheiten nur auf einen beiden 
Ausfdlirungseinheiten zugeordneten ersten Speicherbereich zugreifen. 

24. Verfahren nach Anspruch 16 und 23, dadurch gekennzeichnet, dass die vorgegebene 
Speicheradresse als Triggeradresse im ersten Speicherbereich enthalten ist und die folgende 
Adresse auf die zugegriffen werden soil in dem zweiten Speicherbereich enthalten ist. 

25. Verfahren nach Anspruch 16, dadurch gekennzeichnet, dass in dem zweiten 
Betriebsmodus von beiden Ausfiihrungseinheiten nur auf einen, beiden Ausfuhrungseinheiten 
zugeordneten zweiten Speicherbereich zugegriffen wird. 

26. Verfahren nach Anspruch 1 6 und 25, dadurch gekennzeichnet, dass uberwacht wird, 
dass die Auswertemittel im zweiten Betriebsmodus nur auf den zweiten Speicherbereich 
zugreifen. 

27. Verfahren nach Anspruch 16 und 22 oder 23, dadurch gekennzeichnet, dass 
uberwacht wird, dass die Auswertemittel im ersten Betriebsmodus nur auf den ersten 
Speicherbereich zugreifen. 

28. Verfahren nach Anspruch 1 6, dadurch gekennzeichnet, dass eine Umschaltung von 
dem zweiten Betriebsmodus in den ersten Betriebsmodus durch eine 
Unterbrechungsanforderung erfolgt, wobei die Unterbrechungsanforderung durch eine 
Zeitbedingung oder eine Zustandsbedingung ausgelost wird. 
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14.07.03 Sy/Ho 

ROBERT BOSCH GMBH, 70442 Stuttgart 



Verfahren zur Umschaltung zwischen wenigstens zwei Betriebsmodi einer 
Prozessoreinheit sowie entsprechende Prozessoreinheit 

Zusammenfassung 

Verfahren zur Umschaltung zwischen wenigstens zwei Betriebsmodi einer 
Prozessoreinheit mit wenigstens zwei Ausfiihrungseinheiten dadurch gekennzeichnet, 
dass ein Wechsel von einem ersten Betriebsmodus in einen zweiten Betriebsmodus 
dadurch ausgelost wird, dass durch die Prozessoreinheit auf eine vorgegebene 
Speicheradresse zugegriffen wird. 

Figur 1 
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Fig. 2 
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Fig. 3 



